×

漫谈信息安全设计与治理之渗透测试报告
  

beloved小子 2913

{{ttag.title}}

报告对象

记得犹太文化里有个谚语就说过:世界上最难的有两件事:一是把别人口袋里的钱拿到自己的口袋里,二是把自己脑袋里的东西塞到别人的脑袋里。这说明达到思想上的认同绝非易事。如果您不知道该报告的受众和其关注点,那么从报告人自身的角度定义一个报告的脉络or结构是非常重要的。这样才会让读者有“带入感”并随之产生共鸣。

当然,根据我的经验,至少有两种类型的人会阅读我们的测试报告:管理层和IT技术人员。而实际上管理层是不愿通篇阅读当然也是读不懂测试报告的。他们只想通过目测漏洞列表条目的数量和测试结论,来快速获悉“我们现在到底安不安全?”而IT技术人员则对会各条漏洞分析尤为重视。他们时常怀揣着一颗“既觊觎系统在测试后并无重大漏洞;又希望漏洞程度与整改建议能全面且合理”的待嫁之心。所以我们要花时间搞清楚要报告的对象,并设身处地的从他们的角度来换位思考,做到言之有物、言之凿凿。能够实现“老总看了会沉默,IT看了会流泪”那就厉害了。

封面

对没看错,我们从封面讲起,要注意什么呢?要标明整个报告的“等级标识”和“测试日期”这两个重要元素。

目录

记得小时候读书的时候,语文老师就教育我们:“拿到一本新书的时候要先看目录,以后长大了去某公司查找书籍也要如此。”同理,目录可以让阅读此报告的人对报告的整体架构有个宏观的认识,也可以快速跳跃的到其感兴趣的章节和部分。

内容摘要

怎么听上去有写论文的赶脚?对,只不过不同的是:一般论文在这里尽量体现其通篇最有技术含量的元素,以便更为方便的被检索到。但咱们的报告摘要,则应该尽量避免使用专业术语。因为真正会阅读这部分的管理层金主(非技术类管理人员)可要比技术大牛可多得多哦。当然该部分也可以方便被直接摘录到PPT里,进而在会议上分析与传阅。其实全称应该叫做执行摘要(Executive Summary),也就是汇总性的告知测试了什么、发现了什么、而且是由于什么所导致的。然后就是所发现的漏洞的一个从高到底列表。当然,这里有个小贴士给大家:虽然测试报告命中注定是汇报IT系统和人员的“缺点”,但如果能在摘要中列举出抗攻击成功和安全措施到位的地方,则会在体现测试的客观性和全面性的同时,也能给报告对象带有些许安慰或成就感。毕竟谁都不想看到自己的系统和员工是那么的一无是处。而在执行摘要的最后应该是一个结论,即明确指出是该系统是安全还是不安全。

上述这些都是报告开篇的重要部分,应当能够脉络清晰的呈现在一页A4纸上,让“读者”一目了然的知道接下来要做什么。

测试流程

在E文里,这个部分有个美丽的名字叫做“Technical Storyline”。对,就是最近热播剧《West Word》里,老戏骨们争得头破血流的storyline。我们可以画出带有各种条件判断和步骤框图的测试Flow Chart,它既可以体现咱们的专业水平,又能彰显测试思维的缜密性。另外,我们还可以在必要时阐述一下涉及到评判标准之类的方法论,以增强逻辑性。

工具列表

这里主要包括版本和功能的简要描述。其好处是:如果有人要重现您的测试,则他们可以籍此确切的找到您使用的工具,实现测试的可重复性。

报告主体

这一部分在整个报告中的技术成分含量最高,报告的正文应当包括所有检测到的漏洞细节。即:如何发现到漏洞、漏洞可以如何利用、以及其被利用的可能性有多大。并且还应该尽可能的逐条给出切实贴合的修复建议。在表述顺序上可以有如下几种“打开”方式:

· 以严重等级:从高到低,例如:从SQL的注入漏洞一直罗列到源代码中留存的,尽管被注释掉的信息。

· 以网络架构:从外到内,例如:可以参考我们前面各期漫谈所递进介绍的网络拓扑结构的顺序哦。

· 以系统功能:从点散开,例如:将系统中所有涉及到侦听、嗅探的各种测试都描述到位之后,再描述所有涉及密码破解的测试结果。

哥本人喜欢用的方式是以填表的形式予以呈现,比如在每个表格里都固定包含的表项信息有:漏洞名称、等级程度、被利用的可能性、危害范围和建议等。而且要善用rich formatting(即不同颜色、字体、字号和效果等),以达到醒目和易记忆的效果。当然也可以通过软件来自动生成一些饼图或柱状图,以体现各种占比。毕竟有图有真相、图文并茂,才更有说服力。

附录

这里可以添加一些未尽之言的内容。比如:一些测试原理与依据的支撑材料,参加测试人员的资历和项目经验,以及一些必要的且包含有时间戳和系统特征信息的佐证截屏,甚至是一些术语说明列表等。

免责声明

正如《阿甘正传》里的那句:“生活就像一盒巧克力,你永远不知道下一颗是什么味道。”我们在愉快的提交了测试报告后,是无法知道它被用来做什么以及会给自己的工作带来什么的。所以如果你是作为第三方involve到这个测试中的话,最好是在最后或是扉页处撰写一个免责声明,必要时可以附上有高层签署的该渗透测试同意书。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

zoonctrl 发表于 2017-8-8 08:34
  
这个还不错,我收藏了。
成都成寿科技 发表于 2019-5-15 22:37
  
这个还不错,我收藏了。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
产品连连看
功能体验
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人